Приказ роскомнадзора от 28.10.2022 n 180

Высокая

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат.
  Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных
  или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи,
  установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также
  других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Средняя

Средняя степень вреда присваивается, если:

• ПД распространяются на сайте оператора или неограниченному кругу лиц;
• цель обработки ПД отличается от первоначальной;
• используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
• получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и
  аутентификацию субъекта персональных данных;
• осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими
  лицам в целях, которые несовместимы с целями сбора таких данных.

После 1 марта 2023 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда
он хочет осуществить:

• запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с
  новым зарубежным партнёром;
• изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки
  персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и
  данные клиентов.

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их
обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может
запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления
от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или
во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно
обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Что будет за нарушения?

За нарушение полагается ответственность. Она может быть гражданской (материальной), административной и уголовной. Административная ответственность может выражаться в штрафе до 5000 рублей. Такая ответственность полагается за отсутствие уведомления. Если вы нарушаете законодательство о персональных данных, то возможна административная ответственность от 10 тысяч рублей для ИП и от 60 — для организаций. Материальное возмещение морального вреда субъекту, которое пострадало от незаконной обработки его персональных данных, тоже предусмотрена.

Уголовная ответственность полагается, если произошёл незаконный сбор или же распространение данных о частной жизни лица. Это касается сведений, которые составляют семейную или личную тайну. Уголовная ответственность наступает и за неправомерный доступ к компьютерной охраняемой информации.

Плановые проверки от Роскомнадзора в 2022 году не действуют, так как на это введён мораторий. Но по жалобе сотрудника или работника инспектор обязательно появится. Поэтому не стоит подставляться перед конкурентами или просто теми, кому вы могли чем-то не угодить. Плюс данный мораторий будет действовать далеко не всегда.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

РКН ужесточает проверки

За нарушение работы с персональными данными в 2023 году РКН будет привлекать к ответственности чаще.

Для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09–6488). Речь идет о нарушениях, отраженных в частях 1–2.1 и 4 статьи 13.11 КоАП РФ. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по ПД (постановление от 04.02.2023 № 161). Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с ПД.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о ПД. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки ПД

Правила будут действовать до 1 марта 2029 года (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179).

Степени вреда всего 3 (три):

• высокая;
• средняя;
• низкая.

Результаты оценки необходимо зафиксировать в акте оценки вреда.

Если оценка вреда покажет, что субъекту ПД могут быть причинены разные степени вреда, применению подлежит более высокая степень вреда.

Конкретные меры ответственности за непроведение оценки вреда законодательством не установлено, однако если нарушение будет выявлено в ходе проводимой РКН проверки, его нужно будет устранить. Роскомнадзор вправе выдать компании соответствующее предписание.

Что поменялось в законе о персональных данных?

Прежде закон о персональных данных многих предпринимателей не затрагивал. Они могли обрабатывать такие данные и не сообщать Роскомнадзору в следующих случаях:

1. Проведение обработки персональных данных в связи с трудовым законодательством.
2. Распространение личных сведений с согласия самого субъекта.
3. Получение личных данных с согласия субъекта исключительно для реализации договора, который был с ним заключён.
4. Проведение обработки персональных данных, которые состояли исключительно из фамилии, имени и отчества.
5. Обработка персональных данных участников общественных или религиозных организаций.
6. Получение данных для оформления разового пропуска. Это актуально для тех, кто контролирует посещение своей территории и ввёл пропускной режим.

Эти моменты перестают быть актуальными, то есть исключения убираются с 1 сентября 2022 года. Следовательно, работодатели попадают в число операторов персональных данных. И это означает, что они должны на общих основаниях регистрироваться в профильном реестре, а информацию подавать в Роскомнадзор. Речь идёт о всех группах работодателей, вне зависимости от того, заключают ли они долгосрочные трудовые контракты или берут человека на временной основе.

Стоит ли инициатору собрания направлять уведомления в Роскомнадзор

Инициатор собрания (или другое лицо, которое участвует в обработке персональных данных) сам решает, соблюдать ли ему требования закона о персональных данных.

По мнению автора материала, уведомить РКН стоит, особенно если в доме есть оппозиция или соседи, чрезмерно озабоченные защитой своих персональных данных. 

А вообще, ответственность за неуведомление РКН достаточно смешная.Она предусмотрена статьей 19.7 КоАП РФ – «Непредставление сведений (информации)». Наказание для граждан – предупреждение или административный штраф от 100 до 300 рублей.

Чтобы максимально упростить эту бюрократическую процедуру для тех, кто на нее решится, и был подготовлен этот материал.

Автор материала благодарит подписчика Андрея за помощь в подготовке этой статьи.

В какие сроки и по какой форме подать уведомление

Сейчас уведомить о сборе персданных можно через форму, утвержденную приказом Роскомнадзора от 30.05.2017 № 94, в тексте приказа есть и порядок заполнения формы. Перечень сведений, которые нужно указать в уведомлении, приведен в ч. 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ.

В ведомстве предупредили, что скоро будут утверждены новые формы, но до этого оператор вправе воспользоваться текущей формой (Информация Роскомнадзора от 01.09.2022).

Составить и отправить уведомление нужно в местное отделение Роскомнадзора одним из способов:

• на бумаге заказным письмом через Почту России;

• в электронном виде через сайт Роскомнадзора — понадобится сертификат КЭП;

• в электронном виде через ЕСИА.

В текущей форме уведомления нет некоторых полей, которые появятся в новой форме документа согласно частям 3 и 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. А значит после утверждения новой формы работодателям придется передать уведомление о внесении изменений в ранее внесенные сведения: отдельно указать категории персданных, которые запрашиваете, а еще для каждой цели обработки данных указать категории персданных и категории лиц, которым принадлежат эти данные, и пояснить, что вы делаете с этими данными и на каком правовом основании.

Роскомнадзор сообщил, что предельный срок для отправки уведомления не назван и 1 сентября 2022 — не крайний срок (Информация Роскомнадзора от 01.09.2022). Вероятно, при такой трактовке ведомство не будет штрафовать тех, кто задержался с подачей уведомления. Но все же рекомендуем не откладывать эту задачу и воспользоваться текущей формой уведомления, а после утверждения новой внести дополнения в ранее переданные сведения.

В уведомлении нужно указать дату, с которой оператор начали обработку персданных. Специалисты Роскомнадзора разъяснили, что такой датой считается день государственной регистрации компании или ИП (информация пресс-службы Роскомнадзора от 25.08.2022).

Как отправить Уведомление в Роскомнадзор

Уведомление передайте в РКН любым из способов:

• отправьте письмом в адрес территориального отделения Роскомнадзора по месту регистрации компании или ИП (или привезите лично);
• в электронном виде через сайт РКН, используя УКЭП;
• через ЛК на портале Госуслуг с использованием средств аутентификации ЕСИА.

Кстати, Роскомнадзор планирует поменять форму уведомления и уже разработал три новых бланка:

• о намерении осуществлять обработку персональных данных;
• о внесении изменений в ранее представленные сведения;
• о прекращении обработки персональных данных.

Проект приказа об утверждении этих форм опубликован на федеральном портале НПА ().

Подписывайтесь на наши YouTube
и Telegram чтобы не
пропустить важные изменения 1С и законодательства

Что изменилось для работодателей

О начале обработки персональных данных сообщают все операторы — государственные или муниципальные органы, юридический или физические лица, которые собирают и обрабатывают персданные. Все они числятся в специальном открытом реестре операторов на сайте Роскомнадзора.

С 1 сентября 2022 из закона «О персональных данных» исключили шесть случаев, когда компании могли не уведомлять Роскомнадзор о скорой обработке данных (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ), и норма стала строже. Теперь большему числу работодателей нужно отчитаться перед ведомством. Это касается компаний, которые обрабатывают персданные сотрудников, подрядчиков на договорах ГПХ, клиентов компании, посетителей и других лиц, которые сообщают свои фамилию, имя и отчество.

От подачи уведомления компания освобождается только в таких ситуациях:

• если персональные данные включены в государственные защищенные информсистемы;

• если оператор собирает персональные данные строго без средств автоматизации: например, записывает в тетрадь от руки (бухгалтерская программа или таблицы Excel на компьютере — это уже средства автоматизации);

• если данные обрабатывают в целях устойчивой и безопасной работы транспорта, защиты интересов личности, общества и государства в сфере транспорта согласно законам РФ.

Образец уведомления, как заполнить

Электронного формата нет, поэтому по ТКС в т.ч. через 1С-Отченость не отправить.

Но можно с помощью ЭЦП это сделать или через Госуслуги, как показано ниже.

Автоматизацию в 1С можно отслеживать здесь.

Далее:

Если выбрали через ЕСИА, то далее так:

Примерный образец заполнения ниже. Можно менять, дополнять по своей ситуации. Если что-то будет недозаполнено, то при отправке всплывет сообщение, и проблемное поле подсветится красным цветом.

Текст для заполнения:

– Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006.

– ведение кадрового и бухгалтерского учета, оформления трудовых и гражданско-правовых отношений, обработки персональных данных в соответствии с трудовым и гражданским законодательством

Текст для заполнения:

– назначение лица, ответственного за обработку и хранение персональных данных, которым является …, …, тел. +7 …, …, …;

– разработка и утверждение локальных нормативных актов, регламентирующих работу с персональными данными (Положение о работе с персональными данными, Политика обработки персональных данных и др.);

– осуществление внутреннего контроля и аудита соответствия обработки персональных данных законодательству РФ;

– оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

– ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к их защите, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных;

– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

– учет машинных носителей персональных данных;

– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;

– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем и другие меры в соответствии с законодательством.

– реализация разрешительной системы допуска пользователей, регистрация действий пользователей;

– учет и хранение съемных носителей информации;

– использование средств защиты информации, использование защищенных каналов связи;

– организация физической защиты помещений.

Текст для заполнения:

сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (распространения, предоставления, доступа), извлечения, использования, обезличивания, блокирования,  удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники, смешанной обработки персональных данных, информация передается с использованием сети связи общего пользования (Интернет)

Текст для заполнения:

– профессия, гражданство, должность, изображение (фотография), контакты (номера телефонов, электронной почты), ИНН, данные паспорта, военного билета, медицинского полиса, СНИЛС, сведения о близких родственниках работников

– работникам (субъектам), состоящим в трудовых отношениях с … (Оператором), исполнителям по гражданско-правовым договорам, соискателям, близким родственникам работников

УВЕДОМЛЕНИЕ О ПРЕКРАЩЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

(фамилия, имя и отчество (при наличии) гражданина или индивидуального предпринимателя, его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер индивидуального предпринимателя, наименование юридического лица (полное и сокращенное (при наличии),

его идентификационный номер налогоплательщика и (или) основной государственный регистрационный номер, адрес оператора <1>)

(регистрационный номер записи в реестре операторов <2>)

Основание прекращения обработки персональных данных:

(ликвидация оператора, реорганизация оператора, прекращение деятельности по обработке персональных данных,

аннулирование лицензии, наступление срока или условия прекращения обработки персональных данных, указанного в уведомлении, вступившее в законную силу решение суда и иные основания)

Дата прекращения обработки персональных данных <3>:

(фамилия, имя, отчество (при наличии), должность (при наличии) оператора или иного уполномоченного лица оператора)		(подпись оператора или иного уполномоченного лица оператора)		(расшифровка подписи оператора или иного уполномоченного лица оператора)

«___» __________________ 20__ г.

<1> части 3 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»),

<2> статьи 22 Федерального закона «О персональных данных».

<3> статьи 22 Федерального закона «О персональных данных».

Что стоит проверить в персональных данных

Закон разрешает работодателям обрабатывать персданные только в некоторых целях. Это связано с такими ситуациями:

• заполнение трудового договора, передача сведений в контролирующие органы;

• содействие карьерному росту и обучению сотрудников;

• забота о личной безопасности сотрудников;

• контроль объемов и качества выполняемой работы;

• сохранность имущества предприятия.

Если личные данные не связаны с этими целями, работодатель не вправе их запрашивать, даже если сотрудник не возражает. Также нельзя обрабатывать данные из особых категорий: о расовой или национальной принадлежности, религиозных и политических убеждений, личной жизни и состояния здоровья, членстве в общественных организациях.

У всех лиц, от которых вы получили персданные, нужно взять согласие на их обработку. В согласии указывают цель сбора данных — ясно и без размытых формулировок.

Итак, прежде всего, важно проверить, числится ли компания в реестре операторов на сайте Роскомнадзора. Если нет — подать уведомление о начале сбора и обработки персональных данных по текущей форме, в качестве даты начала обработки указать дату регистрации компании или ИП

Когда ведомство утвердит новую форму уведомления, стоит воспользоваться ею для отправки дополнительных сведений, которые не удалось указать в первый раз. Затем подключиться к ГосСОПКА и вовремя уведомлять ведомства об изменениях в обработке данных и утечках.

Уничтожение персональных данных: новые правила

Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений.

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о
персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию
уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала,
где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом.
В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения ПД актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных (Приказ Роскомнадзора от 28.10.2022 N 179).

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил ПД, двумя документами:

• актом об уничтожении ПД;
• выгрузкой из журнала регистрации событий в информационной системе ПД.

При этом, если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

Минимальный срок, в течение которого необходимо хранить акты об уничтожении ПД и выгрузку из журналов регистрации событий – 3 года.

Обращаем внимание: если РКН или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по ч. 5 ст

13.11 КоАП РФ. Штраф за такое нарушение установлен в размере до 90 тыс. руб.

Что делать тем, кто уже есть в реестре РКН?

Если ИП или компания уже сообщали о том, что они обрабатывают персональные данные, повторно вносить себя в реестр не нужно. Но лишним не будет проверить по ИНН, точно ли вы внесены в реестр, ничего ли не перепутали

Также обратите внимание на указанные цели обработки. Например, если речь шла об оказании услуг клиентам, то теперь надо будет отправить уточнение

По сути, вы должны сообщить, что работаете и с персональными данными своих сотрудников.

Вообще эта обязанность касается всех, кто сталкивается с ведением бухгалтерского учёта или кадрового делопроизводства. Формирование соответствующей отчётности невозможно без работы с персональными данными.

Если у компании были указаны другие цели, надо будет сообщить в Роскомнадзор о том, что требуется внести изменения в реестр. Для этого есть время до 15 сентября. Заполнить информационное письмо на сайте ведомства. Отослать его можно теми же способами, что и уведомление. То есть через электронную почту, лично в бумажном виде, посредством сайта Роскомнадзора или через портал Госуслуг. Если же у компании изменения случились после 1 сентября, то на отправку письма есть 10 рабочих дней.

Дополнительные разъяснения Роскомнадзора

Мы направили в РКН два обращения с просьбой о дополнительном разъяснении обязанности инициатора общего собрания собственников уведомлять Роскомнадзор об обработке персональных данных.

Вот что написало ведомство в своих двух ответах от 07.11.2022 № 08 – 98470 и от 10.11.2022 № 08 – 99909.

• Обязанность по направлению уведомления об обработке персональных данных возлагается, в том числе на физическое лицо – инициатора общего собрания, независимо от формы проведения общего собрания (спрашивали про собрания в ГИС ЖКХ).
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации (спрашивали про эти программы).
• Поручение оператора на обработку данных другому лицу не отменяет возложенную на оператора обязанность по уведомлению об обработке (спрашивали про подготовку документов с помощью сторонних юристов или сервисов).
• В случае прекращения обработки персональных данных оператору необходимо направить уведомление о прекращении обработки персональных данных (спрашивали про прекращение обработки).

Ответ РКН №08 – 99909Скачать

Ответ РКН №08 – 98470Скачать

Итак, РКН ничего обнадеживающего не написал, поэтому придется направлять два уведомления – о начале обработки и ее прекращении.

Карта органов государственной власти

• Сайт Президента РФ

• Сайт Председателя Правительства РФ Владимира Путина

• Портал государственных услуг

• Парламентский портал Российской Федерации

• Сайт Государственной думы РФ

• Федеральный портал управленческих кадров

• Министерство внутренних дел

• Федеральная миграционная служба

• Министерство РФ по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий

• Министерство иностранных дел

• Губернатор Свердловской области

• Правительство Свердловской области

• Законодательное Собрание Свердловской области

• Уполномоченный по правам человека Свердловской области

• Департамент ветеринарии

• Департамент государственного заказа Свердловской области

• Департамент лесного хозяйства Свердловской области

• Департамент общественной безопасности

• Департамент по обеспечению деятельности мировых судей Свердловской области

• Арамиль

• Артемовский

• Асбест

• Атиг

• Ачит

Почему могут запретить передавать персональные данные 2023 за границу

Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина
отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание
имеют расхождения с предусмотренными.

Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель
обязан гарантировать защиту и должную обработку полученных сведений.

Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту
прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.

Уведомление об утечке персональных данных

Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.

• Первичное уведомление необходимо направить в течение 24 часов. В нём описывают произошедший инцидент,
  предполагаемые причины, нанесённый вред и меры устранения.
• Дополнительное уведомление отправляется в течение 72 часов с момента происшествия инцидента. В него требуется
  включить детали о результатах проведённого внутреннего расследования, включая информацию о лицах, которые были
  признаны виновными в инциденте, а также представить все связанные с ними данные.

Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это
нужно, если ведомство считает полученную информацию неполной или недостоверной.

Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора.
Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.

Как подать уведомление в Роскомнадзор?

Отправить уведомление можно следующими способами:

1. Можно заполнить форму прямо на сайте Роскомнадзора.

Там необходимо распечатать данные, подписать и уже в бумажном виде отослать в управление ведомства. Обращаться следует по месту официальной регистрации.

2. Сделать электронное уведомление, которое будет подписано усиленной квалифицированной электронной подписью.

Это можно выполнить на сайте Роскомнадзора. У заявителя должен быть на ПК плагин «КриптоПро» ЭЦП. Речь идёт о Browser plug-in

Также важно настроить работу с ним. Дублировать в таком случае уведомление бумажным способом не нужно

3. Отправить уведомление через Госуслуги.

На сайте сервис предложит пройти аутентификацию. Следовательно, потребуется подтверждённая учётная запись, которая была бы привязана к организации или же к ИП. Если воспользоваться данным способом, не надо будет отсылать бумажное уведомление.

Необходимо отметить, что действующие операторы должны отослать уведомление до 1 сентября 2022 года. А новые — до того, как они начнут обработку данных. Сведения будут проверять на протяжении 30 дней. После этого заявителя внесут в соответствующий реестр.

Следует отметить, что какого-то специального разрешения для работы с персональными данными от Роскомнадзора ждать не нужно

Важно только убедиться, что вы попали в реестр. В электронном виде дата оповещения — это дата отправки письма через сайт

Если же компания отослала уведомление в бумажном виде, то тогда нужно принимать во внимание дату получения письма территориальным управлением

Необходимо отметить, что уведомление нужно будет отсылать всего лишь один раз. Компании не надо каждый раз становиться на учёт. И если компания или ИП уже оказались в реестре как операторы обработки персональных данных, то становиться повторно не требуется. Для работодателя это означает только одно такое уведомление, когда он начинает работать с персональными данными сотрудников. Ему не нужно связываться с Роскомнадзором каждый раз при приёме на работу нового лица или при осуществлении любых других действий, которые имеют отношение к обработке персональных данных.

Отправка уведомлений об обработке персональных данных

Формы уведомлений: сейчас действуют утвержденные формы уведомлений (приказ РКН от 28.10.2022 № 180). 

Когда: до начала обработки данных.

Куда: уведомление направляется в территориальный орган Роскомнадзора (то есть в Управление РКН по вашему региону или федеральному округу).

Как: уведомление можно направить бумажным письмом или электронно, используя авторизацию через ЕСИА (проще всего). Также возможен вариант с электронной подписью.Для отправки нужно зайти на портал персональных данных, выбрать удобный способ и перейти к заполнению форм.Формы для бумажной и электронной отправки практически идентичны, поэтому дальше приводим универсальную инструкцию.